2012年03月23日,上個(gè)月，谷歌(微博)在溫哥華舉辦了一個(gè)比賽，會上這家搜索巨頭以安全著稱的Chrome瀏覽器被黑客們兩度攻陷。這兩種新的黑客攻擊方法都利用了一個(gè)作弊網(wǎng)站來繞過Chrome的安全保護(hù)，結(jié)果成功侵入了目標(biāo)電腦。雖然這兩次黑客攻擊都攻破了谷歌的防護(hù)措施，但這只是第三次真正成功地入侵谷歌系統(tǒng)。

來自法國安全公司Vupen的黑客團(tuán)隊(duì)采取了不同的做法。他們沒有參加谷歌的比賽，而是通過破解Chrome的安全保護(hù)以贏得惠普(微博)在同一場大會上贊助的另一場黑客比賽。雖然谷歌向那兩位贏得其比賽的黑客各提供了6萬美元獎金，條件是他們要告訴谷歌他們的攻擊細(xì)節(jié)，并幫助谷歌修復(fù)他們利用的漏洞。Vupen的CEO兼首席黑客查歐基·貝克拉(Chaouki Bekrar)表示，他的公司根本不想將其秘密技術(shù)告訴谷歌——當(dāng)然不會為了6萬美元而進(jìn)行這種愚蠢的交換。

“我們不會把這種技術(shù)告訴谷歌，即使給我們100萬美元也不行。”貝克拉說，“我們不想告訴谷歌任何可以幫助他們修復(fù)這個(gè)漏洞或其他類似漏洞的知識。這是為我們的客戶保留的。”畢竟，這些客戶的目的不是修復(fù)谷歌或其他任何商業(yè)軟件供應(yīng)商的安全漏洞。他們是政府機(jī)構(gòu)，購買了“零天攻擊”(指在軟件安全漏洞被發(fā)現(xiàn)的頭一天便遭到攻擊——譯注)技術(shù)或那些利用了軟件中未公開漏洞的黑客技術(shù)。他們的目的顯而易見，就是侵入或干擾犯罪嫌疑人和情報(bào)目標(biāo)的電腦和電話。

在陰暗但合法的安全漏洞市場上，“零天攻擊”技術(shù)可能會使黑客從軟件公司手中得到2,000或3,000美元，但打算秘密使用這個(gè)漏洞的間諜和警察可能會給出10倍甚至100倍的價(jià)錢。貝克拉沒有詳細(xì)說明Vupen的確切定價(jià)，但Frost & Sullivan公司(將漏洞研究領(lǐng)域的“2011年度創(chuàng)業(yè)公司”獎授予了Vupen)的分析師表示，Vupen的客戶每年支付大約10萬美元的會員費(fèi)，從而獲得購買該公司技術(shù)的特權(quán)。

這些黑客技術(shù)包括了攻擊微軟(微博)Word、Adobe Reader、谷歌安卓系統(tǒng)、蘋果iOS系統(tǒng)和許多其他軟件的技術(shù)。Vupen在惠普舉辦的黑客比賽上夸口說，他們已經(jīng)掌握了各大瀏覽器的漏洞。熟悉該公司業(yè)務(wù)的知情人士表示，Vupen銷售目錄上僅一項(xiàng)技術(shù)的價(jià)格常常都遠(yuǎn)遠(yuǎn)超過其六位數(shù)的會員費(fèi)。即便價(jià)格如此之高，Vupen也沒有將其發(fā)現(xiàn)的安全漏洞只賣給一家，而是同時(shí)出售給多個(gè)政府機(jī)構(gòu)。這種商業(yè)模式常常使其客戶你爭我奪，生怕在間諜軍備競賽中落后。

貝克拉聲稱，Vupen會仔細(xì)核查客戶的背景，只向北約國家的政府和“北約的合作伙伴”出售安全漏洞。他表示，該公司還有其他的“內(nèi)部程序”來過濾那些非民主國家，并要求買家簽署合同，不得公布或轉(zhuǎn)售這些漏洞。但即便如此，他承認(rèn)該公司的黑客攻擊方法仍有可能落入不法分子之手。“我們盡力確保這些漏洞不會從買家的手中外流。”貝克拉說，“但如果你將武器出售給別人，就無法保證他們不會再賣給其他人。”

這種武器貿(mào)易的比喻很合Vupen批評者的胃口。隱私保護(hù)活動人士克里斯·索菲安(Chris Soghoian)和開放社會基金會(Open Society Foundations)的同仁們把Vupen稱作“為計(jì)算機(jī)戰(zhàn)爭提供彈藥的當(dāng)代死亡商人”。在有個(gè)漏洞被售出后，索菲安說：“它在黑洞里消失了。他們不知道這個(gè)漏洞被如何利用，是否得到了許可，或者是否違反了人權(quán)。”

這個(gè)問題在去年明明白白地?cái)[在了世人眼前。當(dāng)時(shí)，加州森尼維爾市藍(lán)衣系統(tǒng)公司(Blue Coat Systems)的監(jiān)視裝置被出售給了一家阿聯(lián)酋公司，但最后卻在敘利亞被用來監(jiān)視不同政見者。“Vupen不知道他們的漏洞被如何利用，他們可能也不想知道，只要支票兌現(xiàn)就行。”

Vupen并不是唯一一家出售安全漏洞的公司，但與這家位于法國蒙彼利埃的小公司相比，其他買賣黑客技術(shù)的公司，包括Netragard和Endgame以及Northrop Grumman和Raytheon等規(guī)模更大的公司，則更加守口如瓶。貝克拉用“透明”來形容自己的公司，而索菲安則說這家公司“無恥”。Vupen就是這個(gè)行業(yè)的Snooki(美國真人秀節(jié)目《澤西海岸》的明星，行為大膽出格——譯注)。”索菲安說，“他們尋找宣傳自己的機(jī)會，但他們甚至沒有意識到，他們根本不入流。他們就是漏洞交易領(lǐng)域里的《澤西海岸》。”(責(zé)任編輯：admin)